调整的基本原则：深入解析及重要性评估

鉴于各国、各国际组织确立的保护个人信息的基本原则在核心内容上相通且大体一致，在此，作者将以影响范围最广、最有代表性的OECD《隐私保护与个人数据跨境流动指导方针》所确立的基本原则作为分析基础，阐明大数据时代应当做出调整的基本原则。OECD确立了以下基本原则^[60]：

第一，限制收集的原则。应对个人信息的收集行为进行限制，任何信息的获取都应通过合法和公平的方式获取。必要时应当通知信息主体或取得信息主体的同意。

第二，信息质量原则。个人信息应当与利用目的相关，且信息应当准确、完整、及时更新。

第三，目的特定原则。个人信息的收集目的在收集前就应明确，并且其后的使用仅限于实现这些目的。如果信息使用需要突破该目的范围则需要重新明确并说明变化了的目的，且新的目的应与原目的不矛盾。

第四，使用限制原则：超过目的范围的个人信息不应当被披露、提供或利用，除非经信息主体同意或法律另有规定。

第五，安全保障原则。应当采取合理的安全保障措施保护个人信息，以防范信息丢失或者被未经授权的访问、销毁、使用、修改或披露的风险。

第六，公开原则。应当有一个关于个人信息开发、应用与政策相关的一般且公开规则，并提供方便的方式和方法确定个人信息的存在和属性、使用的主要目的及信息控制者的身份与住所等内容。

第七，个人参与原则。这是关于个人权利的规定，个人应当享有如下权利：

（1）查询权：从信息控制者或其他人处确认信息控制人是否保有与其相关的信息；

（2）获得通知的权利：通知应以个人容易理解的方式做出；

（3）异议权：如果依据上述（1）、（2）项做出的请求遭到拒绝，有权要求相对方向其说明原因，并可以就该种拒绝提出质疑；

（4）更正权：对与其相关的数据提出质疑，如果该质疑成功，则有权对数据进行删除、更正、完善或补充。

第八，责任原则。这是关于信息控制者义务的规定。根据该规定，信息控制者有义务遵循根据以上原则所制定的规则与采取的必要措施。

（一）限制收集原则的适用需区分情境

大数据时代，数据信息中潜藏的价值，大大刺激了企业收集信息的动机。政府、企业走在了对个人信息如饥似渴追逐的道路上。信息采集的限制收集原则在实践中早已被不断突破。政府、企业不仅收集实现业务目的所必需的信息，也会收集无关的信息。比如，移动互联中就普遍存在应用程序超出业务目的、超出范围收集用户个人信息的现象。企业今天收集的信息未必在当下就被利用，它所蕴含的价值可能留待未来进行发掘。云计算的迅速发展已经为此提供了充分的技术支持。对于信息而言，企业会想办法采集更多、存储更久。(www.xing528.com)

事实上，大数据环境下的风险并非产生于个人信息收集之初，而在于具体的使用环节。同一信息因使用场景的不同，产生的后果也有所差异。因此，信息保护的规制重心可以考虑由个人信息收集阶段向使用阶段转移，侧重对后端使用环节的监管，适度放宽对前端收集环节的限制。

鉴于各国对个人信息的界定，一般以“识别”为标准，将个人信息定义为已被识别的或者可被识别自然人的任何信息。因此，我们可以做这样的区分，当信息处于已被识别的状态时，应严格遵循限制收集原则。信息主体有权合理限制企业对个人信息的收集和保存。企业应根据其实现特定目的的需要，确定收集数据的范围，在不需要个人数据后，应当以安全方式删除个人数据或者清除个人数据中的身份信息。但当能够用来识别个人身份的信息并没有指向某个具体的个人且这种指向可能从来都不会发生时，采用对已识别信息保护相同的方法去保护可识别信息则并不适宜。鉴于大数据是下一个创新、竞争与生产力的前沿，产业形态向着“数据驱动范式”前进与变革^[61]，此时，不应限制政府、企业对可识别信息的采集。

（二）改目的特定、使用限制为情境一致原则

大数据的价值不再单纯来源于它的基本用途，更多是源于对数据的二次利用。很多数据在收集时并无意用作其他用途，但最终却产生了许多创新性应用。作者将以日本先进工业技术研究所进行的一项关于坐姿研究与汽车防盗系统为例，对此予以说明。

日本先进工业技术研究所发现，当一个人坐着的时候，他的姿势、身形、重量分布都可以被量化。通过在座椅下安装传感器，能准确测量出人们对座椅的施压方式，把人体坐姿特征转化成数据，这会生成独属于每个乘坐者的精确数据资料。实验数据显示，从人体对座位的压力差异识别出乘坐者身份的准确率高达98%。这项技术研究最初准备运用于汽车防盗系统。当汽车识别出驾驶者不是车主时，汽车会要求司机输入密码，如果司机无法准确输入密码，汽车就会自动熄火。当研究人员把坐姿转化成数据后，研究者发现，数据将孕育出一些切实可行的服务与一个前景光明的产业。比如，能够利用交通事故发生之前的坐姿变化分析坐姿与行驶安全间的关系。可以在司机疲劳时发出警示或自动刹车。^[62] 然而，提取数据后的根据驾驶员坐姿预测驾驶员注意力状态（昏昏欲睡、醉酒、生气），并向周围其他驾驶员发出警告以预防交通事故发生的数据应用，并不符合数据收集时的特定目的。这是对数据的二次利用。根据目前的规则，它需要新一轮的告知与许可。现实中存在对信息的大量二次利用。立法者需要平衡信息二次利用的优势与过度披露产生的风险。

目的限定原则是个人信息保护的核心原则，使用限制原则是目的限定原则的衍生。普遍存在的对数据的二次利用使这两个原则在新业态中产生了适用困境。大数据时代，对法定目的的僵化遵循已变得不合时宜。^[63]保护个人信息亦须兼顾个人信息的合理利用，重要的是需要合理控制可能产生的风险，即个人信息的处理给用户带来精神压力、差别待遇及人身财产损害的可能性。美国《消费者隐私权法案》中大部分保护措施就是构建在可能产生的“隐私风险”的基础上。法案在界定“隐私风险”时，对其界定得较窄，将其界定为那些可能引起个人“精神上的痛苦，身体上、财产上、职业上伤害”的风险。^[64]个人信息利用尤其是二次利用是否合理，关键在于新目的是否引发不合理的风险，是否符合用户的预期与个人披露信息时的情境。大数据环境下，应将“目的限定”“使用限制”原则修订为信息使用的“情境一致”原则，

“情境一致”原则是指个人有权期望企业收集、使用、披露信息的方式与其提供信息时的情形保持一致。企业对信息的使用与披露应在以下两个方面与以往保持一致，即个人最初披露信息时的情境及企业与个人之间所处的关系，除非法律另有规定。如果企业在采集信息时就要将信息用作其他目的，他们应该在信息采集时就以突出且个人容易采取措施的方式履行告知义务，赋予个人选择权的同时提升信息处理的透明度。如果企业是在收集信息之后才决定要将信息用作与原始情境不一致的目的，则必须提升信息处理的透明度，赋予个人选择权。同时，年龄因素与个人对企业采集其信息时使用技术产品的熟悉度也是组成情境的考虑因素。

对情境的遵循，首先应考虑企业对个人信息的使用，是否是为了用户提供产品或服务，实现用户具体要求的需要。我们需要从用户使用一项服务或应用的目的与企业提供此项服务与应用必须进行的信息处理、信息披露，这两者间的关联紧密度为基础进行判断。尊重情境为企业在商业实践中如何处理个人信息提供了一个实质性的标准与指引。企业应将个人信息的使用限制在与个人披露信息相一致的情境中。当此项原则强调个人在披露信息时与企业之间关系的重要性时，其也认识到这种关系在之后可能会发生的变化。这种变化可能是造福用户的创新的源泉。企业此时应提供相应的透明度与用户选择，而企业在收集信息后对信息的再次使用，则应该在透明度与赋予用户选择权上对企业做更高要求。这样的改变使得企业使用、披露信息更具灵活性，在这样的灵活性下，企业也需要仔细考虑用户对情境的理解与预期，研究用户的态度与反馈意见。这有助于企业判断哪类个人信息的使用会引发用户的担忧。企业与消费者之间的关系应该引导企业决策，使企业能明智地判断，在哪种可能情形下，企业应以明显的方式对用户进行告知并取得使用用户个人信息的同意。比如，线上商品销售商需要向快递公司披露用户的姓名与住址，才能完成一笔订单交易。这样的披露很明显与信息采集时线上商品销售商与消费者之间所确立关系的情境相一致，线上商品销售商无须再对此进行通知。企业从消费者下单的行为中能够合理推断消费者已经同意将其信息披露给快递公司以完成包裹的送达，而消费者也应有商品会通过快递公司进行配送的常识。

同样，企业也常常推断用户同意企业在如下情况下使用其数据信息：研究用户的使用习惯以提升产品的用户体验、防止欺诈、遵守执法机构的命令及其他一些法律义务方面，这些方面对用户信息的利用，也无须取得用户的再次同意。

在一些例子中我们能看到，具体情境能决定一些情形下赋予用户许可使用的选择机制是合理的，对用户而言是有意义的，但在一些情境下却没有意义。^[65]比如，假定有一款游戏，这款游戏在移动设备上使用，此游戏应用能够保存用户打游戏的进度，用户能在稍作休息后重新恢复游戏到先前状态。为了实现这一功能，设计这款游戏的企业需要采集使用这款游戏的每一台移动设备的唯一标识符。那么企业为了实现此目的采集每一台移动设备唯一标识符的情境会被认为与“恢复”功能及消费者决定使用该游戏“恢复”功能时的情境相一致。当然，如果企业为了盈利，将用户的移动设备唯一标识符向第三方披露，第三方据此向用户发布有针对性的一对一的行为广告，则在此种情境下，企业需要向用户履行告知义务，用户有权拒绝企业向第三方披露其信息。

另外，企业与用户之间的关系也是情境原则需考虑的一个因素。特别是广告支持下服务商提供的新兴服务，其往往会向用户提供免费访问的在线服务与免费使用的应用程序。情境一致原则下并不排除广告支撑的商业模式。情境一致原则的遵守要求企业认识到，不同商业模式下个人信息的使用会诱发不同的隐私风险。企业应当明确告知用户，用户用自身信息交换的是什么产品与服务。

另外，企业将收集、使用、披露的用户信息用在可能会剥夺个人机会、诱发歧视的雇佣、信用评定、投保资质及相似情境的分析上时，毫无疑问，这类敏感使用违背了情境一致原则。“情境一致”下，企业并不需要对数据的每一项使用都进行说明，但有一点，当企业向第三方披露用户数据，第三方会为了其他目的进一步收集或使用用户信息时，企业应当对此突出且明确地予以说明，且需向消费者提供有意见地阻止此类披露的选择与机会。

对情境是否一致的判断有时会比较模糊，存在不同的理解。企业与用户在此问题上发生争议时，需有一机构对企业是否遵循情境一致原则进行评判。虽然此原则适用上有弹性，在复杂情况下人们的认识可能会有分歧，但我们应看到，此原则本身就是一种开创性的解决方案，一种新的尝试，能促使社会从信息符合情境的二次利用中获益。情境一致原则还需更多探索。